终端的安全防御措施
用户上网行为管控
随着网络的发展,网络手段进行数据传输的渠道越来越多,如PC微信、微博、论坛、邮箱等等。此时就需要在用户上网的同时,对用户的行为和流量进行监控。常见的安全设备如上网行为管理系统,通过此系统对敏感网站进行评比,对敏感数据进行拦截,同时对用户的上网路径进行审计。
病毒防控
所有终端必须安装最新版的杀毒软件,至少windows的客户端是必须安装的,并且制定定期更新病毒库策略,一些嵌入式终端可以忽略。
数据防泄漏
数据防泄漏(DLP)软件是一套非常成熟的数据安全解决方案,可以从流程上对数据进行分类、识别和管控。DLP分为HDLP(主机DLP)和NDLP(网络DLP),在项目中,倾向使用HDLP,因其安装在客户端对数据的监控粒度更细,审计更清晰,便于追溯。
外设管控
所有办公终端、生产终端禁止外接USB、串口等设备。可以通过专业的桌面管理软件进行授权控制,同时对外拷的数据进行审计,如Landesk、SCCM等老牌桌管软件。
软件管理
所有办公终端、生产终端禁止随意安装软件,制定软件白名单,未在其中的软件直接拒绝安装或者运行,防止恶意软件、木马等程序被有意无意的调用。一般传统的桌管软件均具备此功能。
资产管控
要想管理好终端,就必须对终端资产的分布、状态了如指掌。业内流行的资产管理软件很多,均可实现此功能。如SCCM、Landesk桌面管理软件等。
终端审计
审计功能作为重要的追溯功能在各个系统中被使用,终端安全中审计也发挥着至关重要的作用。利用AD开启所有办公终端的Audit功能,针对登陆失败、成功等关键动作进行记录。
打印管理
在日常的工作中,管理员往往忽略了打印机的功能。根据多年的工作总结,部分核心文档一般都是通过打印机进行打印流出的。为了避免由此带来的安全漏洞,建议采用集中打印的模式,禁止零散打印机的使用。利用集中打印的安全策略,对敏感词汇、非授权内容进行阻拦。同时与AD集成,对打印的作业进行审计。
系统管理
所有办公终端(Windows系统)必须加入活动目录,开启密码复杂度要求,最小化用户权限,利用组策略下发终端安全策略,如审计、最小化授权、限制3389登陆等措施。
管理规范
制定各类的终端安全管理规范,用技术与管理结合的方式,规范用户的使用习惯,了解终端安全的重要性,使用户警钟长鸣。
终端安全运营
一个完整的终端安全防御离不开技术与管理,正所谓“三分技术,七分管理”。要保障终端安全,除了有必要的技术手段支持以外,还要考虑组织和管理的因素,也就是人、流程与制度的因素。